Una receta humana para la seguridad de Internet de las cosas

Mientras que la tecnología de Internet de las cosas (IoT) se habla mucho para Sus aplicaciones comerciales transformadoras, especialmente en la fabricación, la ominosa amenaza de la ciberseguridad hace que algunos vean con escepticismo una red tan amplia de dispositivos, sensores, software y conectividad. Un flujo de informes de noticias que detallan violaciones masivas de datos valida el peligro inherente a los desafíos de IoT.

Con estimaciones de que los dispositivos conectados podrían llegar a 20 mil millones a 30 mil millones para 2020, en comparación con 10 mil millones a 15 mil millones de dispositivos en 2015 , según McKinsey and Co., el riesgo seguramente aumentará. En mis conversaciones de IoT con los líderes de TI de la empresa, la principal preocupación que expresan es la seguridad.

Pero las organizaciones impulsadas digitalmente pueden tomar medidas valiosas para mantener la integridad de los datos desde una fuente hasta cualquier punto de análisis y soporte de decisiones , tanto a nivel central como local, para mejorar la confianza en la seguridad de los activos de datos. Sin embargo, sorprendentemente, los pasos más importantes para abordar la seguridad de Internet de las cosas pueden tener menos que ver con la tecnología y más con la cultura corporativa y el comportamiento de los empleados.

Entonces, ¿cuáles son algunos de los aspectos más importantes de Internet de las cosas? ¿Cuáles son las medidas de seguridad que un fabricante puede implementar de inmediato para ayudar a mantener los datos y las redes más seguros? Veamos los más importantes.

Evalúe la cultura . El paso más importante y que requiere poco o ningún costo adicional es una evaluación cultural honesta. Haga preguntas abiertas, tal vez utilizando una herramienta que permita el anonimato, sobre las prácticas que vuelven locos a los usuarios y los motivan a crear la temida "TI en la sombra".

Por ejemplo, si se necesitan cuatro semanas para Departamento de TI para generar un informe del cliente para el departamento de envío, el equipo de envío puede mantener su propia copia de los datos del cliente en un sitio de almacenamiento en la nube. Cualquiera en el equipo de envío ahora puede descargar el archivo de datos del cliente en sus computadoras portátiles para obtener sus informes semanales del personal a tiempo para las reuniones del personal. Pero considere el riesgo para su organización si una de esas computadoras portátiles se pierde o es robada.

Métricas honestas . Del mismo modo, observe detenidamente las métricas de la organización y pregunte qué tipo de comportamientos impulsan que podrían ser contraproducentes para la seguridad. Si los ingenieros de mantenimiento están de guardia e investigan cada alarma, independientemente de la gravedad, incluso si ocurre a las 2 a.m., es muy posible que estén motivados para instalar una cámara de video habilitada para 4G para vigilar las instalaciones desde casa. Este truco aparentemente inofensivo les permitiría "comprobar las cosas" sin tener que conducir por la ciudad en medio de la noche.

Sin embargo, es posible que esos ingenieros privados de sueño no informen a TI sobre esta solución. Es posible que se instale un punto de acceso 4G, o la propia cámara, de una manera que desafortunadamente proporcione a los piratas informáticos un punto de entrada al resto de su organización. Mire su organización de manera integral y recuerde el elemento humano.

TI en la sombra . La mejor solución para las acciones de TI en la sombra es un "período de amnistía" que permite a los usuarios presentarse y declarar su tecnología no autorizada sin consecuencias negativas. Luego, sus problemas pueden abordarse de manera coherente con la estrategia de seguridad de la empresa. Una vez que esto se completa y se implementa una seguridad sólida, también puede ser útil contratar una organización de piratas informáticos de "sombrero blanco" para intentar penetrar las defensas de la red. Un pirata informático ético pensará de una manera que un interno no lo hará. Con demasiada frecuencia, los puntos débiles encontrados tendrán más que ver con factores humanos que con la tecnología en sí.

Ciberseguridad continua . A largo plazo, es esencial que una organización comprenda que la ciberseguridad es un proceso continuo, no un ejercicio de una sola vez. Los usuarios tienden a volverse complacientes con el tiempo, por lo que las verificaciones periódicas al azar son esenciales, al igual que las auditorías de seguridad formales regulares.

Con o sin restricciones presupuestarias, la capacitación en ciberseguridad efectiva para todos en la organización es esencial, al igual que el establecimiento de una cultura que valora la seguridad de TI. Lo crea o no, algunos miembros del personal aún no son conscientes del peligro de hacer clic en un enlace recibido por correo electrónico.

Además, los líderes corporativos deben demostrar a través de su propio comportamiento que es normal y se espera que cuestionen cosas. Por ejemplo, modele cómo interrogar de manera cortés pero efectiva a los extraños en los pasillos sobre el propósito de su visita y quién es el contacto de su empleado, luego acérquelos a ese empleado. Comience cada reunión con un recordatorio de seguridad para tenerlo en cuenta, tal como lo han hecho las empresas de fabricación durante muchos años en torno a la seguridad física.

Si bien es cierto que las medidas de seguridad anteriores son válidas para todas las implementaciones de tecnología, no solo para IoT, es aún más cierto para una empresa habilitada para IoT debido a la amplitud de su alcance. Los elementos humanos y culturales pueden hacer o deshacer su estrategia de seguridad de IoT.

Marcia Elaine Walker es la consultora principal de la industria de fabricación en SAS. Síguela en LinkedIn o @MWEnergy en Twitter. Siga las noticias de SAS @SASsoftware en Twitter.